信頼とシグナル
セキュリティスキャン(Security scan)
セキュリティスキャンは、リポジトリが宣言する依存関係を既知脆弱性データベースに照合する。結果がクリーンでも、プロジェクトが安全である証明にはならない。
この用語集は機械翻訳で、不正確な場合があります。
ここでのセキュリティスキャン とは、リポジトリが宣言する依存関係を公開アドバイザリデータベース(OSV など)に照合する自動的な検索を指します。プロジェクトが依存するパッケージ内の既知 CVE を検出します。
これは意図的に狭い範囲です。宣言された依存関係を調べるのであり、アプリケーションコード・実行時の振る舞い・プライベートパッケージは対象外です。「重大な問題は見つからなかった」は日付付きのスナップショットであり、保証ではありません。
GraphCanon では
あるツールで有効化されると、GraphCanon はサポートするロックファイルに対して OSV ベースのスキャンを走らせ、重大度と日付付きで検出結果を報告します。何を決して主張しないかは、信頼方法論に明記しています。
関連リンク
関連用語
最終確認 2026-07-09